Xakep #305. Многошаговые SQL-инъекции
В популярном WordPress-плагине LiteSpeed Cache обнаружена критическая уязвимость, которая позволяет злоумышленникам получить доступ к ресурсу на уровне администратора.
LiteSpeed Cache — популярный плагин, который используется для повышения производительности сайтов и насчитывает более 5 млн установок, поддерживая WooCommerce, bbPress, ClassicPress и Yoast SEO.
Как рассказывает ИБ-специалист Джон Блэкборн (John Blackbourn), нашедший уязвимость, проблема повышения привилегий без аутентификации (CVE-2024-28000) связана с функцией симуляции поведения пользователя в плагине и вызвана недостаточной проверкой хеша в LiteSpeed Cache до версии 6.3.0.1 включительно.
Блэкборн сообщил о баге через bug bounty программу Patchstack в начале августа, и уже 13 августа команда LiteSpeed выпустила исправление, вошедшее в состав LiteSpeed Cache версии 6.4. Согласно статистике загрузок в официальном репозитории плагинов для WordPres, плагин уже обновили около 2,5 млн раз. То есть более половины всех использующих его сайтов по-прежнему могут быть уязвимы для атак.
Сообщается, что успешная эксплуатация CVE-2024-28000 позволяет любому неаутентифицированному посетителю получить доступ на уровне администратора сайта. Это может использоваться для полного захвата контроля над ресурсом и последующей установки вредоносных плагинов, изменения критических настроек, перенаправления трафика на вредоносные сайты, распространения малвари среди посетителей, кражи пользовательских данных и так далее.
«Мы установили, что брутфорс атака, которая перебирает весь миллион известных вероятных значений хеша и передает их cookie litespeed_hash (даже при относительно медленных трех запросах в секунду) позволяет получить доступ к сайту под любым ID пользователя в период от нескольких часов до недели, — рассказывают специалисты Patchstack. — Единственным условием для выполнения атаки является знание ID пользователя-администратора и передача его в cookie litespeed_role. Сложность обнаружения такого пользователя полностью зависит от целевого сайта, и во многих случаях подходит ID 1».
Напомним, что в начале 2024 года в LiteSpeed Cache обнаруживали XSS-уязвимость (CVE-2023-40000), которая так же позволяла неавторизованным пользователям повысить свои привилегии. В мае текущего года специалисты WPScan предупредили, что хакеры уже начали поиск уязвимых перед этим багом сайтов. Тогда было зафиксировано более 1,2 млн запросов, исходящих всего с одного вредоносного IP-адреса.